Yahoo!ニュース

マイクロソフト、2億5千万件のカスタマサポート記録を誤って公開。修正後ブログで謝罪。

大元隆志CISOアドバイザー
マイクロソフトのカスタマサポート記録が誤って公開されていたことがわかった。(写真:アフロ)

 セキュリティ研究者のBob Diachenko氏は、マイクロソフトの2億5千万件に及ぶカスタマサポートの記録が誤って誰でもアクセス可能な状態で公開されていたと発表した。

 Diachenko氏は、インターネット上に公開されていたElasticsearchサーバ五台を発見。このデータベースには、マイクロソフトサポート担当者とマイクロソフトの世界中の顧客との間で交わされた2005年から2019年までの14年間にわたる会話のログが含まれていた。同氏によれば、すべてのデータは、パスワードなどの認証を必要とせず、ウェブブラウザさえあれば誰でもアクセスできる状態になっていたという。

■情報漏えい発覚から修正までの時系列

 Diachenko氏によれば、2019年12月29日にDiachenko氏が公開されているデータベースを発見しマイクロソフトに通知。30日から31日の二日間でマイクロソフトはデータベースを保護し問題を修正した。

■マイクロソフトの発表

 2020年1月22日、マイクロソフトは同社ブログで本インシデントについて公開した。それによれば、2019年12月5日 (米国時間) にデータベースのネットワーク セキュリティグループに変更を加えた結果、データを公開状態とする設定が、誤って構成されたとのこと。

 Diachenko氏の報告を受け、2019年12月31日設定を修正し、データベースを制限するとともに、データベースアクセスと認可されていないアクセスを防止したという。

 公開されていたデータベースは、サポートケースの分析に使用しているマイクロソフト内部のデータベースについてのみ発生したものであり、商用クラウドサービス上のデータが公開の状態になっていることではないとのこと。また、マイクロソフトの調査では、悪用は見つかっておらず、ほとんどの顧客個人を特定できる情報は、公開された状態ではないとのこと。

 同社は今回のような設定ミスは業界全体でも一般的に発生しうるものであるが、今回の件を真摯に受け止め再発防止に務めるとした。

CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事